Vulnerabilità React2Shell: Flaw di Massima Gravità nei Componenti del Server React Attivamente Sfruttato da Gruppi Supportati dalla Cina

Una nuova vulnerabilità di massima gravità (con un punteggio CVSS di 10.0) nei React Server Components (RSC), soprannominata React2shell, causa scompiglio nel panorama delle minacce informatiche, subito dopo lo sfruttamento recente di due vulnerabilità di alta gravità nel framework Android (CVE-2025-48633 e CVE-2025-48572). I difensori hanno osservato che più gruppi cinesi supportati dalla nazione sfruttano la vulnerabilità React2Shell, che consente RCE, mettendo a rischio significativo le implementazioni vulnerabili. 

Per anni, la Cina ha condotto operazioni informatiche offensive mirate a organizzazioni statunitensi e internazionali in vari settori, spesso sfruttando gruppi APT legati allo stato nazione come Mustang Panda or APT41 per raccogliere intelligence e dati sensibili. 

Per mezzo decennio, le operazioni informatiche supportate dalla nazione cinese hanno sottolineato sempre più la furtività e la sicurezza operativa, creando un panorama delle minacce più complesso e impegnativo per le organizzazioni in vari settori, incluso il settore pubblico, nonché per la comunità globale della cybersecurity. I gruppi APT collegati alla Cina rimangono gli attori sponsorizzati dallo stato più veloci e attivi, spesso armando nuovi exploit quasi immediatamente dopo la divulgazione. Il rapporto CrowdStrike 2025 Global Threat indica che gli attori delle minacce legati alla Cina hanno aumentato le operazioni informatiche sponsorizzate dallo stato del 150%.

Registrati sulla piattaforma SOC Prime, la piattaforma di rilevamento intelligente AI-Native per i team SOC per aiutare la tua organizzazione a prevenire minacce emergenti di qualsiasi complessità, attacchi APT avanzati, e campagne di sfruttamento delle vulnerabilità in evoluzione. Clicca su Esplora Rilevamenti per accedere a una collezione completa di contenuti SOC per il sfruttamento delle vulnerabilità, filtrati in modo intelligente dal tag “CVE” personalizzato.

Esplora Rilevamenti

Tutti i rilevamenti possono essere applicati su diversi sistemi SIEM, EDR e Data Lake e sono mappati al framework MITRE ATT&CK® . Sono inoltre arricchiti di intelligenza di rilevamento nativa dell’AI e metadati azionabili, inclusi riferimenti CTI, cronologie di attacco, configurazione di audit, raccomandazioni per il triage per una ricerca delle minacce e un’analisi CTI avanzata, aiutando i team a migliorare l’efficienza operativa.

I team di sicurezza possono anche fare affidamento su Uncoder AI per accelerare i flussi di lavoro di engineering del rilevamento end-to-end e sfruttare la conversione automatizzata degli IOC in query di caccia personalizzate, generazione automatica della logica di rilevamento direttamente dai rapporti sulle minacce, visualizzazione del flusso di attacco, previsione dei tag ATT&CK, e contenuti assistiti dall’AI in più formati linguistici, tutto all’interno di una soluzione unica. 

Analisi della vulnerabilità React2Shell

I difensori hanno recentemente scoperto una nuova vulnerabilità di massima gravità nei React Server Components tracciata come CVE-2025-55182, alias React2Shell, che colpisce React 19.x e Next.js 15.x/16.x con App Router. Questo difetto di RCE pre-autenticazione è stato segnalato in modo responsabile a Meta da Lachlan Davidson, con React e Vercel che hanno emesso congiuntamente patch il 3 dicembre 2025. Gli exploit PoC pubblici sono emersi circa 30 ore dopo la divulgazione, seguiti poco dopo dai propri PoC del ricercatore. 

React2Shell deriva dalla deserializzazione non sicura di payload inviati tramite richieste HTTP agli endpoint di Server Function. Questo difetto logico di deserializzazione nel trattamento dei payload RSC consente a un aggressore non autenticato di inviare una richiesta HTTP progettata a qualsiasi endpoint di Server Function, che React poi deserializza, consentendo l’esecuzione di codice JavaScript arbitrario sul server.

I team di threat intel di Amazon riportano che collettivi legati alla Cina, sia cluster consolidati che precedentemente sconosciuti, tra cui Earth Lamia e Jackpot Panda, stanno già tentando di armare il difetto, che consente RCE non autenticata tramite la gestione non sicura dei payload RSC. 

Gli avversari stanno sfruttando sia scanner automatizzati che PoC eseguiti manualmente, con alcuni strumenti che utilizzano tattiche di evasione come agenti utente randomizzati. La loro attività si estende ben oltre la CVE‑2025‑55182, con il monitoraggio di Amazon che mostra gli stessi cluster cinesi sfruttare altre recenti vulnerabilità, come la CVE‑2025‑1338. Questo sottolinea un modello sistematico in cui gli avversari tracciano le nuove divulgazioni, incorporano immediatamente exploit pubblici nei loro strumenti e lanciano campagne su larga scala su più CVE contemporaneamente per massimizzare la portata del bersaglio.

In particolare, molti avversari si affidano a PoC pubblicati pubblicamente che non funzionano in implementazioni reali. La comunità di GitHub ha segnalato numerosi esempi che interpretano erroneamente la vulnerabilità, inclusi demo che registrano in modo improprio moduli pericolosi o rimangono sfruttabili anche dopo la patch. Eppure gli attaccanti continuano a usarli, evidenziando chiari trend comportamentali, come l’adozione rapida rispetto alla validazione, la scansione ad alto volume, le basse barriere all’ingresso dovute alla disponibilità degli exploit pubblici e il rumore dei log che può oscurare attacchi più mirati.

La telemetria AWS MadPot conferma che gli avversari stanno iterando in modo persistente sui loro tentativi di sfruttamento. Il cluster non attribuito (IP 183[.]6.80.214) ha impiegato quasi un’ora il 4 dicembre per testare ripetutamente i payload, emettendo oltre 100 richieste in 52 minuti, eseguendo comandi Linux, tentando scritture di file a /tmp/pwned.txt, e tentando di leggere /etc/passwd. Questo dimostra che gli attaccanti non si limitano a lanciare scansioni automatizzate ma stanno attivamente effettuando debug e perfezionando tecniche contro sistemi attivi.

In particolare, la minaccia colpisce anche le applicazioni Next.js che utilizzano App Router. Assegnata originalmente CVE‑2025‑66478 con un punteggio CVSS di 10.0, è stata successivamente contrassegnata dal NIST NVD come duplicato della vulnerabilità React2Shell.

Wiz ha riportato che il 39% degli ambienti cloud ha sistemi suscettibili alla CVE‑2025‑55182 e CVE‑2025‑66478. Sebbene i servizi AWS non siano impattati, data la natura critica di entrambe le vulnerabilità, agli utenti è fortemente consigliato di applicare immediatamente le patch per garantire la massima protezione.

Le organizzazioni che utilizzano React o Next.js su EC2, in container, o in altri ambienti autogestiti dovrebbero applicare aggiornamenti senza indugio. Per minimizzare i rischi dallo sfruttamento di React2Shell, aggiornare immediatamente le applicazioni React e Next.js interessate seguendo il bollettino di sicurezza AWS per le versioni patchate. Come misura temporanea, i difensori sono consigliati di implementare la regola AWS WAF personalizzata fornita nel bollettino per bloccare i tentativi di exploit. 

Nel frattempo, Cloudflare ha annunciato di aver implementato una nuova protezione nel suo WAF basato su cloud come possibile passo di mitigazione contro React2Shell. Secondo l’azienda, tutti i clienti, sia gratuiti che a pagamento, sono protetti, a condizione che il traffico delle loro applicazioni React sia instradato attraverso il proxy di Cloudflare.

Con l’aumento continuo delle vulnerabilità attivamente sfruttate, le organizzazioni lungimiranti stanno prioritizzando difese informatiche proattive per garantire posture di sicurezza forti e resilienti. La piattaforma di rilevamento intelligente AI-Native di SOC Prime aiuta le organizzazioni a migliorare le loro difese informatiche su larga scala potenziando le tecnologie AI e l’eccellenza della cybersecurity, massimizzando l’efficacia delle risorse.